新思科技:开源审计是技术并购交易成功的秘诀

2020-08-11来源: EEWORLD关键字:新思科技  开源审计

如果并购交易涉及到软件,那在目标代码库中识别开源组件就至关重要。并购交易运作过程中,代码所含内容至关重要。应用中未被发现的开源可能导致代价高昂的许可证违规。这些以及专有、开源和其他第三方软件中的安全漏洞可能会对软件资产的价值产生重大负面影响。在满足并购尽职调查要求方面,光靠软件组成分析(SCA)还不够,开源审计能提供更多保障。 

 

image.png


开源无处不在。多年来研究人员一直关注开源使用的增长,但由于现在开源十分普遍,他们对建立在开源组件基础上的应用安全愈发担忧。使用开源组件需要遵循开源许可,许多公司已经深刻意识到如果不满足这些规则要求,则会面临法律的风险。因此,在涉及技术并购的交易中,开源安全性和许可证合规性是收购方和目标公司的主要关注点之一。

 

这些公司可以通过执行软件组成分析(SCA)来追踪他们使用的开源。SCA是一种可识别应用中使用的第三方代码的自动化流程,能够发现在代码库中与开源相关的未修补的代码、许可证和潜在的安全漏洞。然而,在涉及软件的并购交易中,利益相关者们需要对代码库中的开源进行更为严格和快捷的评估,而这光依靠SCA工具是无法做到的。

 

为什么SCA还不足以用来评估并购过程中的开源?

 

自动化的SCA工具有助于单个公司监测和识别自用的开源组件和框架结构。调研机构451 Research有一篇报告详细阐述了并购交易中SCA的使用案例。成立不久的公司往往会将新的应用快速推向市场,因此他们越来越多地使用开源。经常使用自动化的SCA工具能够帮助这些公司进行漏洞追踪、补丁管理和确保许可证的合规性。当SCA工具直接集成到开发工作流时将发挥最大效用,让开发团队不用以牺牲速度为代价来减轻开源的风险。

 

image.png


但是企业使用不同的SCA工具,得到的分析结果也有差异,他们可能会遗漏一些潜藏的代码。依赖项扫描可以很好地发现已公开的开源代码,但是未在软件包管理器中公布、只是作为部分、或已修改组件引入的开源代码则可能会完全遗漏。此外,开源代码还可以通过复制粘贴开源代码“片段”,将其纳入代码中。尽管这看上去只是整个代码库的一小部分,该代码仍需要遵循其来源组件的许可义务,同时,在并购尽职调查中应该加以体现。

 

因此,在并购交易中,合规责任转移到了收购一方,他们需要关注目标公司代码库中知识产权所携带的潜在开源风险。

 

为什么并购交易中的企业需要开源审计而不是自动化的扫描工具?

 

收购公司无法轻易对目标公司的代码库进行自动化SCA扫描。首先,并购交易尚未完成前,目标公司不会将其源代码移交给收购方;其次,自动化SCA扫描集成到开发工作流中时才能发挥最大效用,从而使得企业能够监测软件构建的过程;最后,以完成并购交易为目的而对扫描结果进行的评估和研究需要更多时间和更高专业性,这可能是并购团队无法做到的。

 

想要创建一个高度精准和详尽的、包含代码库中所有开源的软件物料清单(BoM),并且在交易的时间表内完成,最佳的办法是借助第三方来进行开源审计。

 

一个典型的代码库包含多少开源组件?

 

新思科技公司近日发布了《2020年开源安全和风险分析》报告(OSSRA)。该报告研究了由Black Duck审计服务团队执行的对超过1,250个商业代码库的审计结果。其中开源占所有代码的70%。这意味着我们扫描的每个代码库中平均有三分之二以上包含开源组件。

 

需要特别注意的是,Black Duck审计的一个主要用处就是并购尽职调查,OSSRA报告中的数据可以作为并购交易中体现开源趋势的一项指标。

 

为什么企业使用这么多开源?

 

正如451 Research报告所述,更快速、更频繁的应用软件交付趋势不会在短期内消失:“在这些应用程序中使用开源组件已不再是一个新奇的想法。现在有很多开发人员使用由第三方编写的免费代码,这也是客户的交付需求促使的。”

 

新思科技OSSRA报告阐明了开源审计所揭露的相关风险:

 

 扫描的代码库中超过99%都包含开源,平均每个代码库有445个开源组件

 67%的代码库包含某种形式的开源代码许可证冲突,33%的代码库包含没有可识别许可证的开源组件。

 75%的代码库包含至少一个开源代码漏洞,而 49%的代码库包含高风险漏洞

  

在并购中若不进行开源评估,将会面临哪些风险?

 

在并购交易中,开源采用率增加的趋势会引起两个主要问题:首先,企业必须了解他们将获得的软件中开源的内容和数量,以评估其新收购的知识产权的潜在风险;其次,他们必须在交易之前了解这样的风险情况,以把控他们的投资回报率,并对交易后所需要的补救成本进行规划。

 

不了解这些风险可能会付出高昂的代价。假设您正在收购Equifax,但没有执行开源工作。那会发生什么?众所周知,在2017年导致超过1.4亿人的个人数据泄露的安全事件,正是由Apache Struts框架中一个未修补的开源漏洞引起的。Equifax 至今已付出了14亿美元的高昂代价,而因该漏洞造成的影响远不止在金钱方面。

 

事实上,Equifax处理Apache Struts漏洞修复的速度远远快于平均水平。2014年,新思科技揭露了Heartbleed漏洞,而这个漏洞目前仍然是一个全球性的安全问题。


关键字:新思科技  开源审计 编辑:muyan 引用地址:http://news.eeworld.com.cn/manufacture/ic505801.html 本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:重压之下,中国芯产业势头依旧饱满
下一篇:造假分子为何将矛头指向ZESTRON

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

新思科技:许多组织仍会提交易受攻击的代码
美国新思科技公司  (Synopsys, Nasdaq: SNPS)近日发布的《现代应用程序开发安全》报告发现尽管许多组织仍会提交易受攻击的代码,但大多数组织认为他们的应用安全计划都是可靠的。拥有良好的应用安全计划并不意味着组织将不再提交易受攻击的代码。区别在于提交此类代码的人完全知情并清楚地了解他们所承担的风险。 要想实现应用程序安全就需要持续对潜在风险进行分类处理,这其中就涉及到如何制定优先级决策,使得开发团队既能在规定日期前交付应用程序,同时还能降低风险。如果在开发周期中过晚发现漏洞,那么这些漏洞通常将无法得到解决。这也进一步强调了尽早注重应用程序安全的重要性。因为只有尽早发现漏洞才能留出足够
发表于 2020-09-22
<font color='red'>新思科技</font>:许多组织仍会提交易受攻击的代码
芯际探索——2020新思开发者大会的些许感受
作为需要不断创新的半导体产业来说,EDA公司更是需要先行一步,为客户的创新提供更创新的工具,新思科技等一直就是EDA行业的创新代表。新思开发者大会(前身为SNUG,新思用户大会)最期待的,除了技术革新之外,就是每年的不同主题了。今年配合人类太空探索所推出的“芯际探索”主题,代表了新思科技不断创新的追求,现场也充满了众多太空元素。新思科技中国董事长兼全球资深副总裁葛群表示:“我们要像人类探求宇宙,探索星际的未知一样,探索芯片的未来。我们愿与所有开发者共思同行,探索更多未知边际,带领国内技术研发力量走向更深远未来,以创新改变世界。”新思科技中国董事长兼全球资深副总裁葛群开发者大会的意义今年是新思开发者大会30周年纪念,遗憾
发表于 2020-09-09
芯际探索——2020<font color='red'>新思</font>开发者大会的些许感受
新思科技助力法国电信企业SFR应对软件安全挑战
美国新思科技公司发布的Seeker交互式应用安全测试解决方案可以帮助开发人员在软件开发生命周期( SDLC )早期解决关键安全漏洞,节省宝贵的时间、资源和成本。企业可以通过在投产之前保障应用安全来降低风险。 法国电信企业SFR (Société française du radiotelephone)为应对软件安全的挑战,开始采用Seeker交互式应用安全解决方案,实现了在SDLC早期就能确保代码安全,并且将开发人员置于安全测试核心的位置。 企业概览Altice Europe是一家跨国电信集团,在法国电信与媒体融合领域有着举足轻重的地位,通过其旗下的电信运营商SFR (Sociét
发表于 2020-09-07
<font color='red'>新思科技</font>助力法国电信企业SFR应对软件安全挑战
新思科技联手 Elektrobit推出用于 ARC 功能安全处理器 IP AUTOSAR
新思科技 和Elektrobit (EB) 这家富有远见卓识的汽车行业嵌入式和互联软件产品的全球供应商,今天共同宣布推出用于新思科技符合 ASIL-D 的 DesignWare® ARC® EM 和 ARC HS 功能安全 (FS) 处理器 IP  的 EB tresos 经典 AUTOSAR软件。该 EB tresos AUTOSAR 软件将和 ARC 功能安全处理器一起提供一个硬-软件平台,助力汽车
发表于 2020-09-02
后摩尔时代EDA技术需要什么?新思科技提出双引擎模式
8月27-28日,2020集微半导体峰在厦门海沧召开。本届峰会以“探寻·迭变时代新逻辑”为主题,旨在外部世界风云突变的市场环境下,探寻市场新的商业逻辑。 峰会期间,28日下午举办“国产突破与全球协作”为主题的EAD专场论坛。会上,新思科技中国区副总经理谢仲辉发表主题为《EDA开启IC设计双驱动模式》的演讲。                                            
发表于 2020-08-31
后摩尔时代EDA技术需要什么?<font color='red'>新思科技</font>提出双引擎模式
新思科技:发布高质、安全的软件,企业需要解决这些问题
软件,不管是由谁构建的,都很容易受到漏洞攻击,随着我们的世界越来越依赖数字化,更多的软件被编写,更多的漏洞也将会出现。现在,开源可以说是构建软件应用的基础。如果没有有效的方法来跟踪和管理开源,企业将面临使用开源所带来的安全、许可证合规性和代码质量风险。 自2005年起,NVD漏洞数据库每年都报告4,000 ~ 8,000个新漏洞,但是这一数字在2017年激增至14,645,2018年增至16,511,2019年则增至17,306。 尽管开源软件的漏洞少于专有软件,但是开源安全问题不容忽视。新思科技公司发布的《2020年开源安全和风险分析》报告(OSSRA)发现经过审计的代码库中,75%包含具有已知安全漏洞的开源
发表于 2020-08-25
<font color='red'>新思科技</font>:发布高质、安全的软件,企业需要解决这些问题
换一换 更多 相关热搜器件

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 市场动态 半导体生产 材料技术 封装测试 工艺设备 光伏产业 平板显示 电子设计 电子制造 视频教程

词云: 1 2 3 4 5 6 7 8 9 10

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2020 EEWORLD.com.cn, Inc. All rights reserved